Gli hacker iraniani noti come APT34 hanno lanciato una campagna di spear-phishing distribuendo una nuova backdoor chiamata Saitama.
Questa volta, APT34 prende di mira i funzionari del ministero degli Esteri giordano. APT34 è associato ad altri moniker, come OilRig, Cobalt Gypsy IRN2 e Helix Kitten, ed è attivo almeno dal 2014, attaccando principalmente entità finanziarie e governative, nonché aziende e organizzazioni nei settori delle telecomunicazioni, dell’energia e della chimica.
Rileva Saitama Backdoor
Il rilevamento è stato reso disponibile per le 23 piattaforme SIEM, EDR e XDR, allineate con l’ultimo framework MITRE ATT&CK® v.10, che affronta la tattica di sviluppo delle risorse con Ottieni capacità (T1588/T1588.001) come tecnica principale.
Il team di ricerca di Malwarebytes riporta di una nuova backdoor, con una grande probabilità gestita da APT34, data una serie di indicatori e somiglianze con le precedenti attività di questo famigerato APT.
Il virus iraniano distribuisce il nuovo ceppo di malware soprannominato Saitama per mezzo di una campagna di spear-phishing rivolta ai funzionari del governo giordano. A fine aprile, gli analisti hanno avvertito di un’e-mail dannosa ricevuta da un diplomatico giordano. Gli avversari, imitando un legittimo rappresentante del governo della Giordania, hanno inviato un’e-mail con affermazioni fasulle in merito alla conferma richiesta con un maldoc allegato.
Il documento dannoso era un file Excel pieno di macro. All’apertura di un file, la vittima viene invitata ad abilitare una macro, avviando processi come la creazione di un oggetto TaskService e inviando una notifica dell’esecuzione della macro al server tramite il protocollo DNS, eliminando il payload del malware “update.exe” e rendendolo persistente.
Il carico utile utilizzato in questo attacco di spear-phishing è un virus chiamato Saitama scritto in .NET che abusa del protocollo DNS per le comunicazioni di comando e controllo.